Sicurezza Informatica

ExCobalt: la tecnica del Tunnel nascosto di GoRed

di Livio Varriale
scritto da Livio Varriale 0 commenti
image 196 4

Nel corso di un’indagine su un incidente presso uno dei nostri clienti, il team PT ESC CSIRT ha scoperto una backdoor precedentemente sconosciuta scritta in Go, attribuita a un gruppo di cybercriminali denominato ExCobalt. ExCobalt, specializzato in cyber spionaggio, include membri attivi almeno dal 2016 e presumibilmente precedentemente parte del famigerato gruppo Cobalt.

Attività di ExCobalt

Negli ultimi anni, PT ESC ha registrato attacchi collegati a ExCobalt e indagato su incidenti presso organizzazioni russe in settori come:

  • Metallurgia
  • Telecomunicazioni
  • Miniere
  • Tecnologia dell’informazione
  • Governo
  • Sviluppo software

Caratteristiche di GoRed

GoRed è la nuova backdoor di ExCobalt con le seguenti funzionalità chiave:

  • Connessioni C2: Gli operatori possono connettersi alla backdoor ed eseguire comandi, simile ad altri framework C2 come Cobalt Strike o Sliver.
  • Protocollo RPC: Comunicazione con il server C2 utilizzando RPC.
  • Tunneling: Comunicazioni tramite DNS/ICMP, WSS e QUIC.
  • Raccolta Dati: Ottiene credenziali e raccoglie informazioni sui sistemi compromessi.
  • Comandi di Ricognizione: Esegue vari comandi per condurre ricognizioni sulla rete della vittima.
  • Esfiltrazione Dati: Serializza, cripta, archivia e invia i dati raccolti a un server dedicato.

Indagine su GoRed

Durante un’indagine su un incidente nel marzo 2024, è stato scoperto un file chiamato scrond, compresso con UPX. Una volta decompresso, il file scritto in Go mostrava percorsi di pacchetti contenenti la sottostringa “red.team/go-red/”, suggerendo un tool proprietario chiamato GoRed.

Versioni di GoRed

Le versioni trovate durante le indagini includono:

  • 0.0.1: Versione iniziale con raccolta informazioni base.
  • 0.0.9: Build di debug con configurazione estesa.
  • 0.0.13: Aggiunge shell inversa e monitoraggio file system.
  • 0.1.3: Descritta in un report Solar, non incontrata direttamente.
  • 0.1.4: Versione corrente, oggetto dell’analisi attuale.

Struttura interna di GoRed

GoRed utilizza vari pacchetti interni per differenti funzionalità:

  • config: Recupero delle configurazioni interne e di trasporto.
  • bb: Elaborazione dei comandi dell’operatore.
  • birdwatch: Monitoraggio del file system.
  • gecko: Protocollo di comunicazione con il C2.
  • backend: Connessione a un server di esfiltrazione dati.
  • collector: Raccolta informazioni di sistema.
  • proxy: Funzionamento in modalità proxy.
  • revshell: Funzionamento in modalità shell inversa.
  • dns: Implementazione del tunneling DNS.
  • icmptunnel: Implementazione del tunneling ICMP.

Funzionamento di GoRed

image 196
ExCobalt: la tecnica del Tunnel nascosto di GoRed 18
  1. Esecuzione e Persistenza: Inizia con il comando service per ottenere persistenza nel sistema.
  2. Modalità Beacon: Il comando gecko avvia la modalità beacon per la comunicazione con il C2.
  3. Raccolta Dati: GoRed raccoglie dati sul sistema compromesso e li invia al C2 tramite RPC.
  4. Esecuzione Comandi: Ascolta i comandi dell’operatore e li esegue, sia in background che in primo piano.

Comunicazione e configurazioni

GoRed comunica con il C2 utilizzando vari protocolli, tra cui WebSocket, QUIC, ICMP e DNS. Le configurazioni incorporate e di trasporto definiscono gli indirizzi e le modalità di connessione.

GoRed rappresenta una sofisticata backdoor utilizzata da ExCobalt per cyber spionaggio. La sua evoluzione e le capacità di nascondere le proprie tracce la rendono una minaccia significativa per le organizzazioni prese di mira.

Potrebbe interessarti anche

Matrice Digitale partecipa al Programma Affiliazione Amazon EU, un programma di affiliazione che consente ai siti di percepire una commissione pubblicitaria pubblicizzando e fornendo link al sito Amazon.it.

Giornalista e scrittore: le sue specializzazioni sono in Politica, Crimine Informatico, Comunicazione Istituzionale, Cultura e Trasformazione digitale. Autore del saggio sul Dark Web e il futuro della società digitale “La prigione dell’umanità” e di “Cultura digitale”. Appassionato di Osint e autore di diverse ricerche pubblicate da testate Nazionali. Attivista contro l’abuso dei minori, il motto di Livio Varriale è “Coerenza, Costanza, CoScienza”.